Diferencias

Muestra las diferencias entre dos versiones de la página.

--- informatica:sistemas_operativos:linux:seguridad [2021/01/07 16:20] – [Seguridad física] tempwin
+++ informatica:sistemas_operativos:linux:seguridad [2021/01/07 17:13] (actual) – [GRUB] tempwin
@@ Línea 102: / Línea 102: @@
   * Escoltar a los visitantes.
   * Registrar las visitas.
+==== Single User Mode ====
 Para arrancar un sistema Linux en //Single User Mode// basta con añadir ''s'' (''S'' o también ''1'') a la línea del GRUB que indica dónde está el kernel:
@@ Línea 114: / Línea 116: @@
 linux /vmlinuz-3.19.0-15-generic root=/dev/mapper/ubuntu-vg-root ro rescue
 </code>
+Esto nos permitirá arrancar el sistema con el usuario root. Dependiendo del sistema, no nos preguntará por la contraseña.
+==== GRUB ====
+Si tenemos acceso al gestor de arranque GRUB, podemos pasar la opción ''init=/bin/bash'' en la línea del kernel para que arranque el intérprete bash como root.
+Para evitarlo, debemos establecer una contraseña para poder modificar el GRUB. En el fichero ''/etc/grub.d/40-custom'':
+<code>
+# Usuario que podrá modificar GRUB
+set superusers="root"
+password root topsecret
+</code>
+<WRAP center round tip 60%>
+Si queremos cifrar la contraseña, podemos usar el comando ''grub2-mkpasswd-pbkdf2''.
+</WRAP>
+Para aplicar los cambios en la configuración del GRUB:
+<code>
+update-grub
+</code>
+==== Deshabilitar reinicio desde teclado ====
+Para que no tenga efecto la combinación ''Ctrl'' + ''Alt'' + ''Supr'':
+<code>
+# En SystemD
+systemctl mask ctrl-alt-del.target
+systemctl daemon-reload
+</code>
+===== Cifrado del disco =====
+  * dm-crypt
+  * LUKS (front-end de dm-crypt)
+Si hacemos el cifrado durante la instalación de un sistema, será más sencillo.
+Este cifrado del disco permite que cada vez que arranquemos el sistema, se pida la clave de cifrado para poder montar el disco y continuar con el arranque del sistema operativo.
+<WRAP center round important 60%>
+Cifrar un dispositivo elimina toda la información que pudiera haber en él.
+</WRAP>
+Si queremos asegurarnos de que no hay ninguna información en el dispositivo antes de cifrarlo, podemos usar **shred**:
+<code>
+sudo shred -v -n 1 /dev/sdX
+</code>
+Lo que hace este comando es escribir datos aleatorios en el dispositivo.
+Usamos el programa **cryptsetup**:
+<code>
+# Inicializamos el dispositivo:
+sudo cryptsetup luksFormat /dev/sdX
+# Abrimos el dispositivo en /dev/mapper/opt
+sudo cryptsetup luksOpen /dev/sdX opt
+</code>
+A partir de entonces podremos utilizar este dispositivo de bloques como cualquier otro:
+<code>
+# Instalar sistema de ficheros
+mkfs -t ext4 /dev/mapper/opt
+</code>
+Lo montamos desde ''/etc/fstab'':
+<code>
+/dev/mapper/opt /opt ext4 defaults 0 0
+</code>
+Para que se pueda desifrar y montar el dispositivo cifrado al arrancar el sistema, hay que crear el fichero ''/etc/crypttab'' y añadir:
+<code>
+opt /dev/sdX none lunks
+</code>
+Si no tenemos acceso a los dispositivos de bloques, podemos hacer que un fichero se comporte como un dispositivo de bloques (usará ''/dev/loop0''):
+<code>
+# Creamos un directorio
+sudo mkdir /datos
+# Creamos un fichero en ese directorio con el tamaño de 100M
+sudo fallocate -l 100M /datos/opt
+# Ciframos el fichero
+sudo crytpsetup luksFormat /datos/opt
+# Lo abrimos
+sudo cryptsetup luksOpen /datos/opt opt
+# Creamos un sistema de ficheros
+sudo mkfs -t ext4 /dev/mapper/opt
+# Montamos
+sudo mount /dev/mapper/opt /opt
+</code>
+==== Convertir un dispositivo en LUKS ====
+En realidad no hay una conversión como tal, ya que perderemos la información que contenga el dispositivo.
+  * Realizar copia de seguridad los datos.
+  * Borrar el dispositivo utilizando **shred** o ''dd if=/dev/urandom of=/dev/sdX''.
+  * Instalar LUKS.
+  * Resturar la copia de seguridad en el dispositivo ya cifrado.